Modello di posture predefinito per CIS Benchmark 2.0

Questa pagina descrive i criteri investigativi inclusi nella versione 1.0 del modello di postura predefinito per il Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0. Questo modello di postura predefinito ti aiuta a rilevare quando il tuo Google Cloud ambiente non è in linea con il benchmark CIS.

Puoi eseguire il deployment di questo modello di postura senza apportare modifiche.

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nel modello di postura. Per saperne di più su questi rilevatori, consulta Risultati delle vulnerabilità.

Nome rilevatore Descrizione
ACCESS_TRANSPARENCY_DISABLED

Questo rilevatore verifica se Access Transparency è disattivato.

ADMIN_SERVICE_ACCOUNT

Questo rilevatore controlla se un account di servizio dispone dei privilegi Amministratore, Proprietario o Editor.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Questo controllo rileva se hai almeno un contatto fondamentale.

API_KEY_APIS_UNRESTRICTED

Questo rilevatore verifica se le chiavi API vengono utilizzate in modo troppo ampio.

API_KEY_APPS_UNRESTRICTED

Questo rilevatore controlla se le chiavi API vengono utilizzate in modo illimitato, consentendone l'uso da parte di qualsiasi app non attendibile.

API_KEY_EXISTS

Questo rilevatore controlla se un progetto utilizza chiavi API anziché l'autenticazione standard.

API_KEY_NOT_ROTATED

Questo rilevatore controlla se una chiave API è stata ruotata negli ultimi 90 giorni.

AUDIT_CONFIG_NOT_MONITORED

Questo rilevatore verifica se le modifiche alla configurazione di controllo vengono monitorate.

AUDIT_LOGGING_DISABLED

Questo rilevatore verifica se l'audit logging è disattivato per una risorsa.

AUTO_BACKUP_DISABLED

Questo rilevatore controlla se i backup automatici non sono attivati per un database Cloud SQL.

BIGQUERY_TABLE_CMEK_DISABLED

Questo rilevatore controlla se una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati.

BUCKET_IAM_NOT_MONITORED Questo rilevatore verifica se la registrazione è disattivata per le modifiche alle autorizzazioni IAM in Cloud Storage.
BUCKET_POLICY_ONLY_DISABLED

Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket.

CLOUD_ASSET_API_DISABLED

Questo rilevatore controlla se Cloud Asset Inventory è disattivato.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Questo rilevatore verifica se vengono utilizzate chiavi SSH a livello di progetto.

COMPUTE_SERIAL_PORTS_ENABLED

Questo rilevatore controlla se le porte seriali sono attive.

CONFIDENTIAL_COMPUTING_DISABLED

Questo rilevatore verifica se Confidential Computing è disattivato.

CUSTOM_ROLE_NOT_MONITORED

Questo rilevatore verifica se la registrazione è disattivata per le modifiche ai ruoli personalizzati.

DATAPROC_CMEK_DISABLED

Questo rilevatore verifica se il supporto di CMEK è disattivato per un cluster Managed Service for Apache Spark.

DATASET_CMEK_DISABLED

Questo rilevatore verifica se il supporto di CMEK è disattivato per un set di dati BigQuery.

DEFAULT_NETWORK

Questo rilevatore controlla se la rete predefinita esiste in un progetto.

DEFAULT_SERVICE_ACCOUNT_USED

Questo rilevatore verifica se viene utilizzato il account di servizio predefinito.

DISK_CSEK_DISABLED

Questo rilevatore controlla se il supporto della chiave di crittografia fornita dal cliente (CSEK) è disattivato per una VM.

DNS_LOGGING_DISABLED

Questo rilevatore controlla se il logging DNS è abilitato sulla rete VPC.

DNSSEC_DISABLED

Questo rilevatore verifica se DNSSEC è disattivato per le zone Cloud DNS.

FIREWALL_NOT_MONITORED

Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole firewall VPC.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Questo rilevatore controlla se i log di flusso VPC non sono attivi.

FULL_API_ACCESS

Questo rilevatore verifica se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud .

INSTANCE_OS_LOGIN_DISABLED

Questo rilevatore controlla se OS Login non è attivato.

IP_FORWARDING_ENABLED

Questo rilevatore controlla se l'inoltro IP è attivo.

KMS_KEY_NOT_ROTATED

Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attivata.

KMS_PROJECT_HAS_OWNER

Questo rilevatore verifica se un utente dispone dell'autorizzazione Proprietario per un progetto che include chiavi.

KMS_PUBLIC_KEY

Questo rilevatore controlla se una chiave di crittografia di Cloud Key Management Service è accessibile pubblicamente. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS.

KMS_ROLE_SEPARATION

Questo rilevatore verifica la separazione dei compiti per le chiavi Cloud KMS.

LEGACY_NETWORK

Questo rilevatore controlla se esiste una rete legacy in un progetto.

LOCKED_RETENTION_POLICY_NOT_SET

Questo rilevatore controlla se è impostato il criterio di conservazione bloccato per i log.

LOAD_BALANCER_LOGGING_DISABLED

Questo rilevatore controlla se il logging è disattivato per il bilanciatore del carico.

LOG_NOT_EXPORTED

Questo rilevatore controlla se per una risorsa non è configurato un sink di log.

MFA_NOT_ENFORCED

Questo rilevatore verifica se un utente non utilizza la verifica in due passaggi.

NETWORK_NOT_MONITORED

Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC.

NON_ORG_IAM_MEMBER

Questo rilevatore controlla se un utente non utilizza le credenziali dell'organizzazione.

OPEN_RDP_PORT

Questo rilevatore verifica se un firewall ha una porta RDP aperta.

OPEN_SSH_PORT

Questo rilevatore controlla se un firewall ha una porta SSH aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall.

OS_LOGIN_DISABLED

Questo rilevatore controlla se OS Login è disattivato.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Questo rilevatore controlla se un utente dispone di ruoli account di servizio a livello di progetto, anziché per un account di servizio specifico.

OWNER_NOT_MONITORED

Questo rilevatore controlla se la registrazione è disattivata per le assegnazioni e le modifiche alla proprietà del progetto.

PUBLIC_BUCKET_ACL

Questo rilevatore controlla se un bucket è accessibile pubblicamente.

PUBLIC_DATASET

Questo rilevatore controlla se un set di dati è configurato per essere aperto all'accesso pubblico. Per saperne di più, consulta Risultati delle vulnerabilità del set di dati.

PUBLIC_IP_ADDRESS

Questo rilevatore verifica se un'istanza ha un indirizzo IP esterno.

PUBLIC_SQL_INSTANCE

Questo rilevatore verifica se un'istanza Cloud SQL consente connessioni da tutti gli indirizzi IP.

ROUTE_NOT_MONITORED

Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC.

RSASHA1_FOR_SIGNING

Questo rilevatore verifica se RSASHA1 viene utilizzato per la firma della chiave nelle zone Cloud DNS.

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Questo rilevatore controlla se una chiave del account di servizio è stata ruotata negli ultimi 90 giorni.

SERVICE_ACCOUNT_ROLE_SEPARATION

Questo rilevatore verifica la separazione dei compiti per le chiavi degli account di servizio.

SHIELDED_VM_DISABLED

Questo rilevatore controlla se Shielded VM è disattivata.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Questo rilevatore verifica che il flag contained database authentication in Cloud SQL per SQL Server non sia disattivato.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Questo rilevatore verifica che il flag cross_db_ownership_chaining in Cloud SQL per SQL Server non sia disattivato.

SQL_EXTERNAL_SCRIPTS_ENABLED

Questo rilevatore verifica che il flag external scripts enabled in Cloud SQL per SQL Server non sia disattivato.

SQL_INSTANCE_NOT_MONITORED

Questo rilevatore verifica se la registrazione è disattivata per le modifiche alla configurazione di Cloud SQL.

SQL_LOCAL_INFILE

Questo rilevatore verifica che il flag local_infile in Cloud SQL per MySQL non sia disattivato.

SQL_LOG_CONNECTIONS_DISABLED

Questo rilevatore controlla se il flag log_connections in Cloud SQL per PostgreSQL non è attivo.

SQL_LOG_DISCONNECTIONS_DISABLED

Questo rilevatore controlla se il flag log_disconnections in Cloud SQL per PostgreSQL non è attivo.

SQL_LOG_ERROR_VERBOSITY

Questo rilevatore controlla se il flag log_error_verbosity in Cloud SQL per PostgreSQL non è impostato su default.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Questo rilevatore controlla se il flag log_min_duration_statement in Cloud SQL per PostgreSQL non è impostato su -1.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Questo rilevatore controlla se il flag log_min_error_statement in Cloud SQL per PostgreSQL non ha un livello di gravità appropriato.

SQL_LOG_MIN_MESSAGES

Questo rilevatore controlla se il flag log_min_messages in Cloud SQL per PostgreSQL non è impostato su warning.

SQL_LOG_STATEMENT

Questo rilevatore controlla se il flag log_statement in Cloud SQL per PostgreSQL Server non è impostato su ddl.

SQL_NO_ROOT_PASSWORD

Questo rilevatore controlla se un database Cloud SQL con un indirizzo IP esterno non ha una password per l'account root.

SQL_PUBLIC_IP

Questo rilevatore verifica se un database Cloud SQL ha un indirizzo IP esterno.

SQL_REMOTE_ACCESS_ENABLED

Questo rilevatore verifica che il flag remote_access in Cloud SQL per SQL Server non sia disattivato.

SQL_SKIP_SHOW_DATABASE_DISABLED

Questo rilevatore verifica che il flag skip_show_database in Cloud SQL per MySQL non sia attivo.

SQL_TRACE_FLAG_3625

Questo rilevatore controlla se il flag 3625 (trace flag) in Cloud SQL per SQL Server non è attivo.

SQL_USER_CONNECTIONS_CONFIGURED

Questo rilevatore verifica se il flag user connections in Cloud SQL per SQL Server è configurato.

SQL_USER_OPTIONS_CONFIGURED

Questo rilevatore verifica se il flag user options in Cloud SQL per SQL Server è configurato.

SSL_NOT_ENFORCED

Questo rilevatore controlla se un'istanza del database Cloud SQL non richiede che tutte le connessioni in entrata utilizzino SSL.

USER_MANAGED_SERVICE_ACCOUNT_KEY

Questo rilevatore verifica se un utente gestisce una chiave del account di servizio.

WEAK_SSL_POLICY

Questo rilevatore controlla se un'istanza ha una policy SSL debole.

Visualizza il modello di postura

Per visualizzare il modello di postura per CIS Benchmark v2.0:

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione.

Esegui il comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione.

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene il modello di postura.

Passaggi successivi